Fachkräftemangel?

Kein Fachkräftemangel - sondern ein Kompetenzproblem: Warum die Cybersecurity-Branche neu denken muss

, SANS Institute | Autor: Herbert Wieler

Kein Fachkräftemangel - sondern ein Kompetenzproblem: Warum die Cybersecurity-Branche neu denken muss

Das SANS Institute stellt die Ergebnisse des Cybersecurity Workforce Research Reports 2026 vor

Die Cybersecurity-Branche steht an einem Wendepunkt. Lange war vom Fachkräftemangel die Rede – doch ein neuer globaler Report zeigt: Das eigentliche Problem liegt tiefer. Es fehlt nicht an Menschen, sondern an den richtigen Fähigkeiten.

Der aktuelle „Cybersecurity Workforce Research Report 2026“ des SANS Institute, basierend auf den Antworten von rund 1.000 Fachleuten weltweit, zeichnet ein klares Bild: 60 Prozent der Unternehmen sagen, ihre Teams seien nicht ausreichend qualifiziert, um heutigen Bedrohungen standzuhalten. Nur 40 Prozent sehen tatsächlich einen Mangel an Personal. Damit hat sich die Wahrnehmung innerhalb nur eines Jahres grundlegend verschoben.

Die stille Krise hinter vollen Teams

Rob T Lee
Rob T. Lee, Chief AI Officer und Chief of Research beim SANS Institute (Copyright SANS Institute)

„Es geht nicht mehr darum, Stellen zu besetzen“, fasst Rob T. Lee, Chief AI Officer und Chief of Research beim SANS Institute zusammen. „Unternehmen haben Fachleute. Aber diese Mitarbeiter sind überlastet, verfügen über zu wenige Ressourcen und können die Fähigkeiten, die sie benötigen, nicht entwickeln, weil sie zu sehr mit dem Tagesgeschäft beschäftigt sind. Die Branche muss aufhören, offene Stellen zu zählen, und stattdessen in die Kompetenzen der Mitarbeiter investieren, die sie bereits hat.“

Die Realität in vielen Unternehmen: Teams arbeiten am Limit, reagieren auf Vorfälle im Akkord – und kommen kaum dazu, sich auf neue Bedrohungen vorzubereiten. Das Ergebnis sind messbare Sicherheitsprobleme: 27 Prozent der befragten Unternehmen berichten bereits von Sicherheitsverletzungen, die direkt auf Kompetenzlücken zurückzuführen sind.

KI verändert die Spielregeln

Gleichzeitig krempelt Künstliche Intelligenz die Branche um – schneller als viele erwartet haben. Drei Viertel der Unternehmen spüren bereits Auswirkungen auf ihre Sicherheitsabteilungen. Doch während KI Prozesse beschleunigt und Analysen automatisiert, entstehen neue Herausforderungen.

Vor allem klassische Einstiegspositionen geraten unter Druck. Rollen wie SOC-Analysten oder Incident Responder – traditionell das Sprungbrett für Nachwuchskräfte – werden zunehmend automatisiert oder reduziert. Gleichzeitig entstehen völlig neue Jobprofile: Spezialisten für KI-Sicherheit, Governance-Analysten oder Machine-Learning-Experten sind gefragter denn je.

Compliance wird zum Jobmotor

Noch dynamischer wirkt jedoch ein anderer Faktor: Regulierung. Innerhalb eines Jahres ist der Anteil der Unternehmen, deren Personalstrategie durch gesetzliche Vorgaben geprägt wird, von 40 auf 95 Prozent gestiegen.

James Lyne, CEO SANS Institute
James Lyne, CEO SANS Institute

„Das ist eine ziemlich faszinierende Veränderung“, sagt James Lyne, CEO des SANS Institute. „Hier geht es nicht um eine geringfügige Anpassung an Compliance-Anforderungen. Unternehmen schaffen völlig neue Fachpositionen, strukturieren Teams entsprechend den regulatorischen Anforderungen um und müssen mit konkreten Konsequenzen rechnen, wenn sie dies nicht tun.“ Neue Vorschriften wie NIS2, CMMC oder DORA zwingen Unternehmen dazu, ihre Teams neu aufzustellen, Rollen umzudefinieren und Kompetenzen nachweisbar zu machen.

Wenn Wissen fehlt, wird es teuer

Die Folgen dieser Entwicklung sind deutlich spürbar: Projekte verzögern sich, Innovationen stocken, und die Belastung in den Teams steigt. Mehr als die Hälfte der Unternehmen nennt Zeitmangel als größte Hürde für Weiterbildung – ein Teufelskreis, der die Qualifikationslücke weiter vergrößert.

Hinzu kommt ein wachsendes Burnout-Risiko: 61 Prozent berichten von steigender Belastung in ihren Sicherheitsteams. Der Druck, mit immer komplexeren Bedrohungen Schritt zu halten, trifft auf knappe Budgets und volle To-do-Listen.

Karrierewege? Oft Fehlanzeige

Besonders kritisch ist die Situation für Nachwuchskräfte. Klare Karrierepfade – eigentlich entscheidend für langfristige Entwicklung – fehlen in vielen Unternehmen. Nur etwa ein Viertel bietet strukturierte Laufbahnen im Bereich Cybersicherheit an.

Gleichzeitig verschiebt sich der Fokus bei der Einstellung: Zertifizierungen gelten inzwischen als wichtigster Kompetenznachweis – noch vor klassischen Studienabschlüssen. Entscheidend ist nicht mehr, was jemand gelernt hat, sondern was er konkret leisten kann.

Ein Umdenken ist überfällig

Der Report macht deutlich: Die Branche muss ihre Strategie ändern. Statt immer neue Stellen auszuschreiben, geht es darum, bestehende Teams gezielt weiterzuentwickeln. Dazu gehören:

  • systematische Weiterbildung,
  • klare Karrierepfade,
  • strukturierte Nachwuchsförderung,
  • und ein bewusster Umgang mit KI im Arbeitsalltag.

Die zentrale Erkenntnis: Die Zukunft der Cybersecurity entscheidet sich nicht auf dem Arbeitsmarkt – sondern in den Fähigkeiten der Menschen, die heute bereits im Einsatz sind.